[Whát~ Prés~ídéñ~t Bíd~éñ’s Ñ~éw Sé~cúrí~tý Pó~lícý~ Méáñ~s fór~ thé F~útúr~é óf C~ýbér~]

[Thís~ ártí~clé ó~rígí~ñáll~ý púb~lísh~éd óñ~] [Áñdr~éw Rú~bíñ'~s Líñ~kédÍ~ñ].

[Thé Bídéñ Ádmíñístrátíóñ júst céméñtéd íts légácý íñ cýbérsécúrítý pólícý wíth á swéépíñg Éxécútívé Órdér áíméd át ímpróvíñg thé résílíéñcé áñd rédúcíñg thé rísk óf thé Úñítéd Státés Góvérñméñt. Ít’s thé fírst tímé óúr góvérñméñt hás áttémptéd tó réwríté íts cýbérsécúrítý blúépríñt íñ ñéárlý twó décádés, áñd ít cómés ñót á dáý tóó sóóñ. Ñów móré tháñ évér, ádvérsáríés hávé thé tímé, pérsóññél, áñd résóúrcés tó púrsúé ñóvél méthóds óf íñtrúsíóñ - áñd ás démóñstrátéd bý thé récéñt Cólóñíál Pípélíñé áñd SólárWíñds áttácks, théý’ré sééíñg lárgé-scálé súccéss íñ théír éxplóítátíóñ éffórts.]

[Thís ísñ’t júst áñ Ámérícáñ próblém, ór á fédérál próblém, ór á pólícý próblém – á cóñtágíóñ óf cómplácéñcý crépt íñtó thé sýstém. Thát’s whý Í wélcómé thís Éxécútívé Órdér wíth ópéñ árms – bécáúsé ít’s á cáll tó áctíóñ thát wé ñééd tó cháñgé thé wáý wé prótéct óúrsélvés.]

[Gétt~íñg á~héád~ óf th~é cúr~vé]

[Thé Ú.S. fédérál góvérñméñt hás bééñ wóéfúllý béhíñd íñ íñfórmátíóñ téchñólógý áñd cýbérsécúrítý módérñízátíóñ fór qúíté sómé tímé. Ú.S. Dépártméñt óf Hóméláñd Sécúrítý Sécrétárý Áléjáñdró Máýórkás pút thé cúrréñt státé óf fédérál cýbérsécúrítý íñ Ámérícá bést whéñ hé sháréd hís vísíóñ fór ñátíóñál cýbér résílíéñcý óñ Márch 31: “Óúr góvérñméñt gót háckéd lást ýéár áñd wé dídñ’t kñów ábóút ít fór móñths. Ít wásñ’t úñtíl óñé óf thé wórld’s bést cýbérsécúrítý cómpáñíés gót háckéd ítsélf áñd álértéd thé góvérñméñt thát wé fóúñd óút. Thís íñcídéñt ís óñé óf máñý thát úñdérscórés á ñééd fór thé fédérál góvérñméñt tó módérñízé cýbérsécúrítý déféñsés áñd déépéñ óúr pártñérshíps.”]

[Hów ís ít thát óñé óf thé wéálthíést áñd móst íññóvátívé cóúñtríés íñ thé wórld hás bééñ hístórícállý béhíñd thé báll whéñ ít cómés tó sécúríñg ñátíóñál íñfrástrúctúré¿ Óñé wóúld thíñk thát thé bíllíóñs óf fédérál dóllárs thát gó tó sécúríñg góvérñméñt ásséts wóúld mítígáté thé ímpáct óf óútsídé thréáts.]

[Bút thé íssúé ísñ’t thát wé láck thé résóúrcés ór thé táléñt ór thé áccéss tó bést-íñ-cláss cýbér déféñsé téchñólógíés – thé Ú.S. ís áftér áll thé próúd hómé óf máñý glóbál cýbérsécúrítý léádérs. Íñstéád, whát Í bélíévé Sécrétárý Máýórkás wás láýíñg óút ís áñ íñdíctméñt óf thé éñtíré cýbérsécúrítý módél - íf ñót fór thé wórld, théñ át léást fór thé fédérál góvérñméñt.]

[Glóbállý, wé spéñt $173 bíllíóñ óñ cýbérsécúrítý lást ýéár, ýét wé hávé móré bréáchés tháñ át áñý tímé íñ hístórý – áñd théý’ré thé móst cátástróphíc bréáchés óf áll tímé. Déspíté óúr fáílíñg strátégý áñd térríblé óútcómés, wé cóñtíñúé tó táké thé sámé áppróách tó cýbérsécúrítý tódáý ás wé díd 20 ýéárs ágó. Órgáñízátíóñs trý tó prévéñt áttácks fróm íñfíltrátíñg thé pérímétér, théñ détéct áttácks whéñ théý slíp thróúgh, áñd rélý óñ íñcídéñt réspóñsé tó cléáñ úp thé méss.]

[Thé dáýs whéñ prévéñtíóñ áñd détéctíóñ álóñé sávéd ýóúr ágéñcý, búsíñéss ór órgáñízátíóñ áré góñé. Áttácks áré íñ ýóúr íñfrástrúctúré ríght ñów thát ýóú dó ñót kñów áré théré. Théý’ré hídíñg. Théý’ré másqúérádíñg. Théý’ré trýíñg tó móvé áróúñd tó stéál ýóúr ÍP, cústómér dátá, áñd góvérñméñt sécréts ór hóld ít áll fór ráñsóm. Áñd sádlý, óúr cúrréñt cýbérsécúrítý áppróách dóés líttlé tó stóp thésé áttácks fróm bécómíñg lárgé-scálé cýbér dísástérs.]

[Móví~ñg tó~ Gróú~ñd Zé~ró]

[Thís~ Éxéc~útív~é Órd~ér fí~ñáll~ý áck~ñówl~édgé~s thá~t thé~ fédé~rál c~ýbér~sécú~rítý~ módé~l ís ó~útdá~téd b~ý láý~íñg ó~út th~é fír~st dr~áft ó~f thé~ ñéw s~écúr~ítý d~ésíg~ñ. Thé~ ñéw á~ppró~ách c~áñ bé~ súmm~éd úp~ íñ tw~ó wór~ds: Zé~ró Tr~úst.]

[Píck á véñdór áñd ýóú’ll fíñd á míllíóñ Zéró Trúst défíñítíóñs. Fórréstér públícízéd thé térm móré tháñ á décádé ágó, áñd á récéñt blóg bý Fórréstér áñálýst Stévé Túrñér pút ít thís wáý, “Zéró Trúst ís ñót óñé pródúct ór plátfórm; ít’s á sécúrítý fráméwórk búílt áróúñd thé cóñcépt óf ‘ñévér trúst, álwáýs vérífý’ áñd ‘ássúmíñg bréách.’”]

[Íñ térms óf whát Zéró Trúst lóóks líké át thé fédérál lévél, théré wíll bé á ñúmbér óf córé cómpóñéñts tó thé súccéssfúl ímpléméñtátíóñ áñd áchíévéméñt óf á Zéró Trúst strátégý. Áccéss, Ídéñtítý, áñd Ségméñtátíóñ áré thréé córé téchñólógíés thát Í bélíévé wíll bé réqúíréd át scálé. Íf ýóú’vé úséd Góóglé Áúthéñtícátór, Áúthý ór áñý óthér múltí-fáctór áúthéñtícátíóñ ápp, théñ ýóú’vé tákéñ á stép tówárds Zéró Trúst, fór éxámplé. Bút théré áré fúñdáméñtál désígñ príñcíplés thát áré réqúíréd ñó máttér whósé défíñítíóñ ýóú fóllów.]

[Ás á stártíñg príñcíplé, thé fédérál góvérñméñt múst ópéráté úñdér thé “ássúmé bréách” méñtálítý, whích ís thé míñdsét thát áttácks áré álréádý íñ thé íñfrástrúctúré áñd ñéw áttácks wíll gét thróúgh ágáíñ íñ thé fútúré. Fróm thát strátégíc stártíñg póíñt, fédérál cýbér déféñsés cáñ théñ béttér prépáré tó stóp thé ádvérsáríál móvéméñt óf áttácks thróúghóút á clóúd, ñétwórk ór dátá céñtér. Wé’vé léárñéd thé hárd wáý thát 99.9% éfféctívéñéss ísñ’t éñóúgh whéñ .1% óf bréáchés cóst táxpáýérs bíllíóñs óf dóllárs ór fórcé thé clósúré óf crítícál íñfrástrúctúré, líké strátégíc fúél pípélíñés. Íñstéád, ít’s ábóút prépáríñg fór bréáchés próáctívélý, só órgáñízátíóñs cáñ mítígáté théír réách áñd ímpáct.]

[Tó éxpáñd á bít fúrthér, thé góvérñméñt shóúld fóllów thé príñcíplés óf Léást Prívílégé áñd Éxplícít Trúst. Thís méáñs cómmúñícátíóñs ácróss ýóúr íñfrástrúctúré (bétwééñ ápplícátíóñs, ñétwórks, clóúds, dátá céñtérs ór dévícés) shóúld áll hávé thé léást ámóúñt óf prívílégé póssíblé át áll tímés, áñd ágéñcíés shóúld bé réqúíréd tó éxplícítlý trúst cómmúñícátíóñs béfóré théý áré állówéd tó táké plácé bétwééñ thósé sýstéms. Thésé príñcíplés, fór éxámplé, cóúld hávé stóppéd thé SólárWíñds áttáck fróm cáúsíñg só múch dámágé. Thé málwáré wóúld hávé bééñ íñ thé íñfrástrúctúré bút ísólátéd áñd íñcápáblé óf cáúsíñg súch wídéspréád dámágé.]

[Thé ñ~éw cý~bér ñ~órmá~l]

[Ás Sécrétárý Máýórkás éxpláíñéd, “Wé múst fúñdáméñtállý shíft óúr míñdsét áñd áckñówlédgé thát déféñsé múst gó háñd íñ háñd wíth résílíéñcé. Bóld áñd ímmédíáté íññóvátíóñs, wídé-scálé íñvéstméñts, áñd ráísíñg thé bár óf ésséñtíál cýbér hýgíéñé áré úrgéñtlý ñéédéd tó ímpróvé óúr cýbér déféñsés. Wé ñééd tó príórítízé íñvéstméñts íñsídé áñd óútsídé óf thé góvérñméñt áccórdíñglý.”]

[Zéró Trúst ís móré tháñ júst á ñátíóñál cýbérsécúrítý fráméwórk - ít ís sóméthíñg thát áñý córpórátíóñ, órgáñízátíóñ, ór íñdívídúál cáñ émbrácé tó áchíévé trúé cýbér résílíéñcý. Whát thé Bídéñ Ádmíñístrátíóñ ís ádvócátíñg fór ís ñót áñ óvérthrów óf thé sécúrítý tóóls áñd téchñólógíés pówéríñg áñd prótéctíñg tódáý’s wórld bút á strátégíc míñdsét tó súppléméñt thósé sólútíóñs, íñ órdér tó fúrthér bólstér óúr cýbérsécúrítý déféñsés áñd ámplífý óúr prépárédñéss.]

[Fédérál cýbérsécúrítý módérñízátíóñ óbvíóúslý cáññót háppéñ áll át óñcé, bút ít ñééds tó stárt wíth cóñtróls désígñéd tó ísóláté málícíóús áctívítý óñcé théý’vé álréádý péñétrátéd thé fédérál ñétwórks. Ít ñééds tó stárt wíth áñ ássúmé bréách míñdsét, ácróss ágéñcíés. Áñd ít ñééds tó stárt wíth ádóptíñg Zéró Trúst strátégíés át scálé.]